Port 443 Exploit

UGNasi

Cadet 1st Year
Registriert
Jan. 2017
Beiträge
9
Port 443 /https steht wegen SSH und VPN stets offen.

Bin ich dadurch angreifbar ? Hab noch keine Exploits gefunden, die mich in mein eigenes System durch 443 bringen. Bin auch ein ziemlicher Anfänger.

Kann ich den Port so offen lassen oder ist das auf Dauer eine Gefahr ?
 
Zuletzt bearbeitet:
Schreib bitte noch schnell dein Betriebssystem dazu sonst wird das hier zu einer Trollparty.
 
EDIT: nichtmal den ersten satz richtig gelesen:freak:

(verwendest du skype? der standardeinstellung nach belegt skype port 80 und 443)
 
Zuletzt bearbeitet:
Schau mal, hier kannst du nach Lust und Laune die bekannten Exploits durchsuchen.

https://cve.mitre.org/find/

Dort in die Suche einfach mal SSH eingetragen und schon bekommst du ein paar Ergebnisse.
Dann kannst du selbst bewerten ob dieser Exploit bei deiner Konfig Anwendung findet.
Gerade als Neuzugang im exploiting Bereich solltest du dir einiges durchlesen.

Die CVE's werden ca. 1 Woche später in Exploiting Anwendungen, wie z.B. MeterPreter wie unter Kali Linux, eingepflegt. So, dass man auch in der Anwendung nach entsprechendem Exploit suchen kann.

Der Port ist nur die Hälfte der Miete. Als Angreifer würde ich versuche die dahinterliegende Anwendung (etwa einen Webserver) an zu greifen. In dem dahinterliegenden Service sehe ich eher die Problematik.

Hinweise? Anregungen? Vorschläge?
 
Zuletzt bearbeitet:
@dasbene
Nein und wie schon geschrieben, weiß ich welche Software über welchen Port ausgeht.

Die Frage ist, ob man via https auf Port 443 per Exploit zugreifen könnte oder nicht. Wenn dies der Fall ist, dann würde ich zumindest auf Windows nur noch per SSH Tunnel verbinden und die VPN Software deinstallieren.

Auf Kali ist das ja eine andere Geschichte.

@fred

Danke für den Link. Hab mich dort schon umgeschaut sowie auf anderen bekannten Seiten. Aber nichts gefunden, was sich per https auf port 443 verwenden lässt.

Ich hab mich selber dran versucht, bin aber noch nicht soweit um selbständig exploits zu erstellen.

Könnte man sagen, dass für eine Person die sich mit der Materie auskennt, dieser Port durchaus als Access-Point benutzt werden kann ?
 
Zuletzt bearbeitet:
Mit der Frage allein outest du dein totales Unvermögen einen Server im Internet zu betreiben.
Nein, durch einen "offenen" Port ist man gar nix. Du weißt offensichtlich nichtmal was ein offener Port überhaupt ist.

Port 443 /https steht wegen SSH und VPN stets offen.
Bitte erkläre erstmal was du damit meinst. So wie es dasteht ist es sinnloser Nonsens.
 
Weil Port 443 seit gefühlt 20 Jahren der Standard Port für HTTPS ist ?!?!?!

Was gibt es denn da noch zu erklären ???
 
Na na, nicht gleich ausfallend werden. Jeder von uns hat mal klein angefangen und auch ich zähle mich nicht zu begabten Hackern.

In einem geöffneten Port allein sehe ich kein Problem. Der Datenverkehr, der darüber abgewickelt wird, ist wohl eher das Problem bzw. der dahinter stehende Service. Die ganzen Exploits bauen ja darauf auf, eine Schwachstelle z.b. in der SSH Verbindung zu nutzen oder über port 80 eine Lücke im dahinterliegenden Webserver eine Schwachstelle zu nutzen. Es geht also darum die Anwendung, die auf diesem Port kommuniziert zu attackieren. Ist ein einzelner Port keiner Anwendung zugeirdnet, kann ich nun auch nicht sagen ob und in wie fern hier Angriffsmöglichkeiten bestehen.
 
Zuletzt bearbeitet:
HominiLupus schrieb:
Bitte erkläre erstmal was du damit meinst. So wie es dasteht ist es sinnloser Nonsens.

Er hat sich deiner Meinung nach vllt. nicht richtig ausgedrückt, aber 443 steht nunmal für HTTPS Verbindungen. Da kannste ihn noch solange beleidigen wie du willst, er hat Recht in diesem Punkt. Und das die VPN-Software Transportverschlüsselungen verwenden, sollte sich rumgesprochen haben.

edit :

Anbei ein Artikel der sich genau mit dieser Thematik beschäftigt : "https://blog.udemy.com/ssl-port/"

@UGNASI : Lass dich nicht von einigen Personen entmutigen :) Gibt es in jedem Forum. Immer weitermachen.
 
Zuletzt bearbeitet:
DerSchwatte schrieb:
Er hat sich deiner Meinung nach vllt. nicht richtig ausgedrückt, aber 443 steht nunmal für HTTPS Verbindungen. Da kannste ihn noch solange beleidigen wie du willst, er hat Recht in diesem Punkt. Und das die VPN-Software Transportverschlüsselungen verwenden, sollte sich rumgesprochen haben.

Wer keine Ahnung hat wie du auch, sollte nicht solche Dinge behaupten.
SSH ist eben nicht SSL, Port 443 hat erstmal nix, aber auch gar nix mit SSH (da steht nix von SSL da oben. Zudem sollte nirgends, aber auch gar gar nirgends noch SSL verwendet werden!) oder mit VPNs zu tun.
Port 443 ist laut /etc/services für HTTPS only, und sonst nix. SSH hat 22, (open)vpn hat 1194, IPSEC 50,51,500. Ich betreibe da auch einen OpenVPN oder sshd, je nach dem, aber das ist eben um Portsperren zu umgehen. Deswegen auch die Nachfrage.

Also du hast mindestens genauso wenig Ahnung wie der TE und machst alles nur noch schlimmer mit dieser Ignoranz in der du alles sinnlos zusammenwürfelst weil es ähnliche Buchstaben hat.
VPN Software nutzt kein HTTPS, normalerweise nicht mal TLS. Ausser eben wieder zur Tunnelung. Normalerweise nutzt VPN Software überhaupt kein TLS, z.B. das nichtstandardisierte OpenVPN Protokoll ist da die Ausnahme.
 
HominiLupus schrieb:
SSH ist eben nicht SSL, Port 443 hat erstmal nix, aber auch gar nix mit SSH (da steht nix von SSL da oben

Nie behauptet

HominiLupus schrieb:
Zudem sollte nirgends, aber auch gar gar nirgends noch SSL verwendet werden!) oder mit VPNs zu tun.

Nie behauptet

HominiLupus schrieb:
Port 443 ist laut /etc/services für HTTPS only, und sonst nix.

Wenn die Augen so offen wären wie das Maul dann : -->

DerSchwatte schrieb:
Er hat sich deiner Meinung nach vllt. nicht richtig ausgedrückt, aber 443 steht nunmal für HTTPS Verbindungen.

HominiLupus schrieb:
VPN Software nutzt kein HTTPS, normalerweise nicht mal TLS. Ausser eben wieder zur Tunnelung. Normalerweise nutzt VPN Software überhaupt kein TLS, z.B. das nichtstandardisierte OpenVPN Protokoll ist da die Ausnahme.

Aber schon komisch, dass die heute üblichen VPN-Systeme TLS verwenden ,und dass über den TCP-Port 443, findest du nicht ? :). Aber, ist bestimmt falsch ;)

Zudem verwenden SSL-VPN-Systeme PORT 443.
Ob du jetzt IPSec L2TP, oder PPTP verwendest, ist mir und jedem anderen Ralle.

Hast du mal einen Blick in den Artikel geworfen ? Ist bestimmt unter deinem Niveau, was ;) Kann dir bei Bedarf das Englische aus ins Deutsche übersetzen. Die Google-Translations übersetzen meist wörtlich...


edit : Zum Abschluß mal ein Test mit 2x üblichen VPN-Clients. Ich persönlich gehe über SSH rein, aber siehe da, was bei VPN angezeigt wird :



Vergleich : (links VPN on / rechts VPN off)... Lass dir dazu bitte auch noch irgendeine Geschichte einfallen. Irgendjemand wirds dir schon abkaufen.

Ich bin raus. Gleich kommt wieder ein geistiger Erguss, der wieder alles aus dem Kontext reißt. Wenn du so mit neuen Usern wie @UGNasi umgehst, ist es kein Wunder, dass sich solche dann nicht mehr melden.

Aber du wurdest schon als kleiner Klugscheißer wahrscheinlich mit dem goldenen Lan-Kabel im Gesäß geboren. Schon klar.
 
Zuletzt bearbeitet:
Also grundsätzlich würde ich Ports, die Du nicht gerade benötigst, immer zu machen. Also wenn Du gerade keinen Webserver am laufen hast, der eine https Seite zur Verfügung stellt, mach 443 dicht. ;)

edit: Allerdings! Kali, nun das nutzt man ja auch nicht als Standardbetriebsystem. Nicht umsonst ist man da normal immer root. Das ist ein Network Penetration System, kein Ubuntu oder gar Windows Ersatz. Nur um das noch mal deutlich erwähnt zu haben..
 
Zuletzt bearbeitet:
DerSchwatte schrieb:

genau das meinte ich.Jedesmal wenn ich auf Windows per VPN verbinde, öffnet sich dieser Port.

@dekwizart

Ja, wie gesagt bin mich gerade am reinarbeiten und mit den exploits programmieren hab ich noch viel aufzuholen. Danke euch für eure Hilfe
 
Ich wollte keinen neuen Thread erstellen, deswegen frage ich einfach hier.

Ich hab auf Windows 10 das Problem, dass sich Port 135 nicht schließen lässt. Ich weiß dass der Port für RPC zuständig ist und viele Dienste davon abhängig sind.

Ich habe via Registry "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ OLE" und dem RPC Ordner schonmal versucht den Port-Service abzuschalten. Jedoch ohne Erfolg.
Ebenso habe ich durch das Internet-Protkoll für IPv4 das NETBIOS über TPC deaktiviert. Damit habe ich Port 139 und 445 schließen können. Firewall-Regel brachte auch nichts.

Ich habe mich stundenlang durch Artikel gelesen, die sich aber zu 80 % auf Win XP und den alten Windows Servern bezogen. Damals gab es ja noch vor SP1 eine Sicherheitslücke im Port 135. Danach allerdings wurde es ziemlich still.

Gibt es sonst noch eine Möglichkeit diesen Port unter Win10 zu blocken ? Gibt es einen Service-Namen für den Dienst, welcher auf Port 135 zugreift ? Dann könnte man via "sc stop X" manuell stoppen. Ich weiß echt nicht mehr weiter.
 
Zuletzt bearbeitet:
Scannst du denn von dem Rechner auf dem du die Ports schließen willst? Wenn ja scan mal von einem anderen und beende / deaktiviere die Windows Drucker- & Dateifreigabe und die Netzwerkerkennung und stelle dein Netzwerk auf öffentlich (nicht Heimnetzwerk!) dann sollten die auch zu sein.

Aber was willst du damit eigentlich bezwecken? Solange du dein Windows ordentlich updatest und die Windows Dienste nicht öffentlich freigibst (Portforwarding) dann sind die auch ziemlich unbedenklich.

Und ich denke du bist auch meilenweit von der "Exploit Programmierung" entfernt. Du solltest das auch nicht mit dem Starten eines Exploit-Franeworks ala Metasploit verwechseln. Um aktiv Schwachstellen in Programmen zu finden brauchst du schon einiges an Erfahrung im Reverse-Engineering und es wäre auch nicht verkehrt wenn du dir Software ala IDA Pro (https://www.hex-rays.com/products/ida/) besorgen würdest um deine Zielprogramme wenigstens ordentlich debuggen zu können.

Falls dich das wirklich interessiert, dann kannst du dir mal ein paar Papers reinziehen die im Rahmen der Blackhat (http://www.blackhat.com), DEFCON (https://www.defcon.org), SysCan360 (https://www.syscan360.org) etc. veröffentlicht wurden. Hier wäre es aber definitiv sinnvoll wenn du dich grundlegend in Assembler einarbeitest und du Begriffe wie Stackoverflow, Bufferoverflow, Adress Space Randomization, Race Conditions etc. im Schlaf runterbeten kannst.
 
Wow vielen vielen Dank. Da hab ich ja einiges an Lesestoff.

Druckerfreigabe wurde schon deaktiviert und das Heimnetz steht auf öffentlich. Gescannt wurde von einem anderen Computer aber im selben Netzwerk. Habe es auch schon mit DcomMbubelator versucht,ohne Erfolg.

Kann mich auch via "telnet" zum freien Port verbinden.. Finde ich schon sehr bedenklich. Könnte den Port auch zur Not umleiten.

Bin mir ziemlich sicher, dass dieser Port durch irgendeine Schadsoftware offen gehalten wird. Allein wenn NetBIOS für Ipv4 deaktiviert wird, sollten Port 135,139 und 445 dicht sein.

Der Task lässt sich ja auch schlecht "killen", da Remoteprozeduraufruf und die RPC Endpunktzuordnung davon abhängig sind. Ohne diese Dienste, ist Windows nicht funktionsfähig.
 
Zuletzt bearbeitet:
Darf man fragen mit welcher Software du die Port-Scans ausführst ? Verwendest du deine Netzwerk Adresse oder deine öffentlich zugeteilte IP ? Das Zweite wird aus eigenem Netzwerk nicht funktionieren. Entweder zeigt er dir nur gefilterte Ports an, oder sagt das Port 135,139 und 445 offen sind, ggfl. auch andere Ports.

Benutzt du nmap zum scannen ? Falls ja benutz den folgenden Filter : "nmap -sT" in Kombi mit deiner IPv4 Adresse. Am besten zur Sicherheit auch von einem anderen Gerät im Netzwerk.

Falls du NETBIOS wirklich deaktiviert hast, sehe ich keine Probleme. "netstat -ao" ist auch nicht wirklich hilfreich, was offene Ports angeht. Ich persönlich denke, dass Port 135 nach Abschaltung von DCOM safe ist. Versuch dich mal über "telnet" aus einem externen Netzwerk mit dem offenen Port zu verbinden. Ich wette das klappt nicht.

Und egal was du tust, beende unter keinen Umständen die Prozesse die unter "PID 924" laufen. Damit wird Port 135 zwar entgültig dicht gemacht, dein Windows allerdings auch.

Ich würde soweit gehen und sagen du hast alles mögliche unternommen um besagten Port abzusichern. Mehr geht nicht mehr. Du kannst MS RPC nicht dazu zwingen, Port 135 zu ignorieren.

Die einzige Lösung wäre ein Patch. Ich würde es mit "Winhex" versuchen. Würde es dir aber nicht empfehlen.
 
Zuletzt bearbeitet:
Seit es die Windows-Firewall gibt, müssen Ports nicht mehr manuell geschlossen werden. Die Firewall stellt man so ein, dass alle Verbindungen blockiert werden, incl. die in der Liste der Ausnahmen.
Wenn du mit einem Router mit dem Internet verbunden bist, brauchst du dich gleich doppelt nicht um die Ports kümmern.
Und wenn nichtmal eine Anwendung den Port offen hat, gleich dreifach nicht. Das kannst du z.B. mit dem Programm TCPView rausfinden. Unter Win10 ist bei mir der 433 nicht offen (Listening).
 
Zuletzt bearbeitet:
DerSchwatte schrieb:
Benutzt du nmap zum scannen ? Falls ja benutz den folgenden Filter : "nmap -sT" in Kombi mit deiner IPv4 Adresse. Am besten zur Sicherheit auch von einem anderen Gerät im Netzwerk.
Versuch dich mal über "telnet" aus einem externen Netzwerk mit dem offenen Port zu verbinden. Ich wette das klappt nicht.

Und egal was du tust, beende unter keinen Umständen die Prozesse die unter "PID 924" laufen. Damit wird Port 135 zwar entgültig dicht gemacht, dein Windows allerdings auch.

Ich würde soweit gehen und sagen du hast alles mögliche unternommen um besagten Port abzusichern. Mehr geht nicht mehr. Du kannst MS RPC nicht dazu zwingen, Port 135 zu ignorieren.


Ja benutze nmap. den filter kannte ich noch nicht danke. Hab meinen bruder gebeten mal aus seinem netzwerk meine Ports zu lesen, und er meinte alle 1000 Ports wären gefiltert gewesen. Aber wieso zeigt er mir dann im eigenen Netzwerk an dass ich 135 und 445 offen hätte. 445 hat sich auch wieder automatisch selbst geöffnet, nachdem sc stop lanmanserver benutzt habe.

Hier mal ein Screenshot, vllt könnt ihr mir mehr sagen. Kenne mich mit Windows nicht so gut aus.


@ToniMacaroni

Ja benutzte wieder meinen alten Router Speedport W700V. Weißt du wieso er von innerhalb des Netzwerks sagt, dass die Ports offen wären und von außerhalb des Netzwerks ist alles unsichtbar ?

Danke für eure Hilfe.
 
Zurück
Oben